By Risk Management
【Web特別版】
4月号
- コンプライアンス・トレーニングを改善する
コンプライアンス・トレーニングを改善する
ニール・ホッジ[*]
コンプライアンス・トレーニングは、規制や契約上の要件を満たすが、実際の価値はない「チェックボックス」作業として軽視されることがよくある。規制当局、専門機関、その他の主要な利害関係者グループは、サイバーセキュリティとデータ保護、現代奴隷制、健康と安全など、さまざまな重要な問題から生じる法的リスクについて、企業全体で認識を高めることのメリットを理解しているかもしれない。しかし、多くの企業は、コンプライアンスをメリットではなくコストと見なしているため、依然として最低限のことしか行っていない。
このような姿勢があることから、また企業はコストが安く、雇用主がトレーニングの利点を真剣に考えていないため、汎用の既製プログラムを選択することがよくある。これにより、コンプライアンス・トレーニングは最初から失敗することになる。「トレーニングは基本です。基本は安価でなければならないのです」と、AIを活用したトレーニングソフトウェア会社サイファー・ラーニングCEOグラハム・グラスは述べている。「情報の保持力が向上することが証明されているにもかかわらず、トレーニングを個々人の能力と職務に合わせてカスタマイズしていると答えた企業はわずか35%です。」
専門家は、コンプライアンス・トレーニングの多くは目的に適していないという点で概ね一致している。主な理由は、従業員の実際の経験や課題に合致していないためである。トレーニングはコンプライアンス要件を満たすためのもので、専門能力開発や職務遂行とは関係がないため、従業員は他の種類のトレーニングほど重要だとは考えない。その結果、従業員は研修を軽視し、無視するようになる。その結果、教えられたことをすぐに忘れてしまい、職場で学んだことを適用できなくなる。コンプライアンス・トレーニングが実際に効果的であることを保証するためには、企業は従業員のニーズを理解し、有意義な学習体験を作り出すことに重点を置く必要がある。
有意義な学習体験を創出する
「学習は定着させる必要があります」と、HRコンサルティング会社h2hの創設者兼取締役社長スーザン・ビンナーズリーは述べている。彼女は、トレーニングには明確な目的があり、学んだことを実践する有意義な機会があり、継続的なフィードバックと評価が可能でなければならないと述べている。また、トレーニングは魅力的で、さまざまな学習の好みに対応できるように設計されている必要がある。コンプライアンス・トレーニングを特定の職務や能力に合わせて調整すると、最初から研修の重要性が高まり、より魅力的になる。また、シミュレーション、ロールプレイング、実際のシナリオなどのインタラクティブな要素を使用すると、セッションがより魅力的で記憶に残るものになる。トレーニングを小分けにして定期的に要約を提供することも、スタッフが重要なポイントを覚えておくためには重要となる。
コンテンツと配信の両方を定期的に見直し、更新する必要がある。「組織が変化しないことはめったにありません。そのため、トレーニングは頻繁に更新および検証し、仕事と学習者の両方の変化するニーズに適応する必要があります」と彼女は付け加える。
法律事務所カッテン・ミューチン・ローズマンのパートナーであるニール・ロブソンによると、トレーニング資料は平易な言葉でわかりやすく、トレーニング自体には興味を維持するために楽しい要素が組み込まれていることが重要である。「法律やコンプライアンスの専門用語は、人々を混乱させたり、セッションに関心を持てないと感じさせたりすれば意味がありません」と彼は言う。「トレーニングを関連性があり、興味深く、そしてあえて言えば楽しいものにすることは、スタッフが通常、内容を覚えているか、少なくともセッションを覚えていて、その後、私たちが提供したすべての資料をもう一度読み直して、教わったことをすぐに忘れないようにすることを意味します。」
コンプライアンス・トレーニングでしばしば問題となるもう1つの点は、組織がトレーニングで達成すべき具体的で測定可能な目標を最初から設定していないことである。トレーニング・プロバイダーのグローバル・ユニバーシティ・システムズのHR担当取締役であるファンク・サダールは、雇用主が評価モデルを導入して反応、学習、行動の変化、ビジネスへの影響を評価し、アンケート、フォーカス・グループ、インタビューを通じて従業員から定期的にフィードバックを集めて改善すべき領域を特定することが重要であると述べている。組織は、生産性、コンプライアンス・インシデント、従業員のエンゲージメントなどの主要業績評価指標(KPI)を追跡して、トレーニングの影響を測定する必要がある。次に、このデータを使用して、トレーニング・プログラムを継続的に改良および改善し、関連性と効果を維持する必要がある。
コンプライアンス・トレーニングの成果が芳しくない主な理由は、eラーニングの孤立した性質にある。バーチャル・トレーニングは費用対効果が高く便利なオプションである一方、シナリオベースの質問をしたり、同僚間でのディスカッションから学んだり、さまざまな学習スタイルに合わせたさまざまな指導手法を活用したりする従業員の能力を制限する可能性があると、PHAグループ才能・インクルージョン担当リーダーのルビー・カイトは述べている。
そうではなく、企業は従業員の職務記述書やパフォーマンス管理プロセスに組み込むことができるカスタマイズされたコンプライアンス・トレーニングを提供する必要がある。「『ESG法の理論的理解を示す』や『組織のサイバーセキュリティポリシーに関する実践的な知識を示す』などの義務は、部門やレベルに応じて職務に適応させ、職務記述書に記載し、評価時に評価して、従業員と雇用主の両方の賛同を促す必要があります」とカイトは述べている。これにより、従業員は組織がコンプライアンス・トレーニングに重きを置いていること、コンプライアンスが日常業務に及ぼす影響を認識し、ラインマネージャーまたは上級管理職に報告する必要がある可能性のある「曖昧な領域」または潜在的な非コンプライアンス事例をより簡単に特定できるようになる。
従業員のニーズを理解する
カイトによると、従業員のコンプライアンス・トレーニングのニーズを評価する最良の方法は、事前にコンプライアンスの理解度を判断することである。従業員が何を知っていて、何を知らないかを確認せずに、単にトレーニングを強制する組織が多すぎる。このような評価は、アンケートやシナリオ・テストを通じて実行できる。そこから、組織は従業員がすでに知っていることを教えることに時間を浪費するのではなく、知識の「ギャップ」に特に焦点を絞ることができる。
ほとんどの企業は、コンプライアンス・トレーニングの成功の尺度として研修完了率や合格/不合格率にほぼ固執しているが、焦点は従業員の行動の変化に移すべきである。たとえば、トレーニングの実施後に報告されたデータ侵害、差別関連の苦情、または健康および安全違反の件数はどれくらいか。同僚、直属の上司、リーダーがこれらのトピックについて話し合い、対処する方法に顕著な変化を感じた従業員の割合はどのくらいか。「このアプローチを採用することで、組織は職場での行動を改善し、リスクを積極的に軽減し、社内外での評判を高めることができるようになります」とカイトは述べた。
企業はまた、トレーニングが単に従業員にトピックに関するリスクを知らせるだけなのか、試験に合格しないと一部の職務を遂行できないのか、また、そのような評価を定期的に行う必要があるのかどうかについても明確にする必要がある。また、従業員のパフォーマンスが低かったり、トレーニングを再受講する必要が生じたりした場合にどのような結果になるのか、また何回まで受講できるかについても明確にする必要がある。
最終的に、コンプライアンス・トレーニングの成功または失敗は、組織の倫理的価値観や目標とどれだけ一致しているかによって決まると、コネチカット大学のビジネス法学教授でエバーソース・エナジー提供ビジネス倫理講座主担当でもあるロバート・バードは述べた。「コンプライアンス・トレーニングは、コンプライアンス以上のものであるべきです」とバードは述べた。「コンプライアンス・トレーニングは、組織の生きた価値観を伝える手段でもあります。コンプライアンス・トレーニングは、従業員が目指すことができ、管理者や幹部が心から信じている、より高次の原則と結び付けられるべきです。」
トピック
コンプライアンス、人的資源、規制
注意事項:本翻訳は“ Improving Compliance Training”, Risk Management Site ( https://www.rmmagazine.com/articles/article/2025/04/01/improving-compliance-training) April 2025をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ニール・ホッジは英国を拠点とするフリーランスのジャーナリスト。
- 不安定な関税情勢を乗り切る方法
- 教師中心のアクティブシューター(銃乱射事件)訓練の重要性
- リスクマネジャーがSaaSセキュリティに取り組むべき理由
リスクマネージャーがSaaSセキュリティに取り組むべき理由
チトラ・ラジャゴパラン[*]
企業が機密性の高い企業データを保存・処理するクラウドベースのSaaS(Software as a Service)アプリケーションの導入を増やすにつれ、サイバーセキュリティリスクは急速に直接的な財務上の懸念事項となっている。SaaSを取り巻くリスクはかつてないほど高まっており、Workday、Google Workspace、ServiceNowなどのSaaSツールへの支出額は数千億ドル規模、従業員1人あたり約8,700ドルに達している。
SaaSへの投資は増加しているものの、セキュリティへの投資は遅れている。よくある誤解の一つに、SaaSベンダーがこれらのアプリケーションのセキュリティ保護に責任を負っているというものがある。実際には、これは企業とSaaSベンダーの共同責任であり、企業はこれらのアプリケーションとそこに保存される機密データの適切な構成、統合、脅威検出、そして利用を確保する必要がある。問題は、アプリケーションごとに固有の特性があるため、セキュリティチームが強化しなければならない攻撃対象領域が膨大であることである。
攻撃者はこの脆弱性を認識しており、SaaSを標的とする頻度が増加している。毎月のSaaS侵害は前年比300%増加している。これらの攻撃の中にはニュースで大きく取り上げられるものもあるが、多くは気づかれないままに発生している。これらのアプリケーションを保護するための予算とリソースの割り当ては、10年前のエンドポイントセキュリティと同様に、今日では不可欠となっている。
これらのリスクは、リスクマネージャーが重要な推進者として介入する機会を生み出し、CFO、財務部門、セキュリティ担当者がSaaSリスクを理解し、高額な損害が発生する前に積極的に対処できるよう支援する機会となる。
増大するSaaS侵害による財務リスク
SaaSやDatabricksなどのPaaS(Platform as a Service)などのクラウドベースのアプリケーションは、機密データを扱い、重要な業務の一部を担っている。つまり、これらのアプリケーションへの侵害は、データ損失だけでなく、以下のような大きな経済的影響ももたらすことになる。
- 名声の失墜と将来のビジネス機会の喪失
- 市場価値の低下
- 法的責任と集団訴訟
- 契約違反による損害
- 規制当局からの罰金とコンプライアンス違反
- 顧客への補償
- サイバー保険料の上昇
例えば、チェンジ・ヘルスケアは、重要なシステムに多要素認証(MFA)が導入されていなかったために侵害を受けた。このサイバー攻撃の結果、アメリカ人の3分の1以上の機密性の高い医療データがダークウェブで売却された可能性がある。また、全米の医療施設で医療サービスが混乱し、決済業務も停止した。その結果、多くの患者が重要な医療サービスに対して自己負担を強いられた。これまでに、この侵害によりチェンジ・ヘルスケアは少なくとも23億ドルの損害を被っている。
このような侵害が解決した後も、通常は経済的影響が長引くことがある。影響が拡大している要因の一つは、規制当局が企業のセキュリティ対策に対する監視を強化し、監査範囲を拡大し、罰金を引き上げていることである。例えば、ワンメイン・ファイナンシャルは、複数のサイバーセキュリティインシデントに関連するセキュリティ上の欠陥により、侵害によるコストに加え、400万ドルを超える規制当局からの罰金を課された。
集団訴訟も増加している。組織は侵害の緩和に費用を費やすだけでなく、財務健全性をさらに損なう損害賠償請求に対して法廷で自らを弁護している。IBMの報告によると、事業損失に関連するコストは280万ドルに達し、これは過去6年間で最高水準である。
リスクマネージャーは、財務リーダーと緊密性について連携し、セキュリティ投資とビジネスリスクの優先順位を整合させる必要がある。一方、CFOはセキュリティ担当者と連携し、このギャップを埋めるために十分なリソースを割り当てていることを確認する必要がある。IBMによると、マイクロソフト・アズールなどのパブリッククラウドに保存されているデータへの侵害は平均517万ドルと最も高額であるため、これは特に緊急の課題である。
リスクおよび財務リーダーのための8つの重要な検討事項
SaaSセキュリティについてまだ検討していないのであれば、検討すべきである。リスクマネージャーとCFOは、CISOまたはITセキュリティチームと協議し、ビジネスニーズを満たすリソースが企業のセキュリティインフラもサポートしていることを確認するために、以下の8つの事項について検討する必要がある。
- SaaSアプリ一覧表: 各利害関係者は、組織が使用するすべてのアプリ・データの信頼できるソースを把握しているか。
- ユーザー権限: 機密データへのアクセスや共有のために、どのユーザーに基準の高い権限を与えるべきか、どのように判断し、管理しているか。
- 認証の使用: すべてのユーザーとアプリは、データ保護と認証強化のために、多要素認証などのセキュリティガイドラインとコントロールに従っているか。
- 変更管理: システム、アプリケーション、またはインフラストラクチャの構成への不正な変更を防ぐため、ユーザー、構成、権限を継続的にチェックするためのポリシーはどのようなものであるか。
- 統合管理: 特に生成AIの導入において、アプリ間の統合を制御できているか。
- 侵害検知と対応: セキュリティソリューションとワークフローは、SaaS攻撃のスピードに対応できているか。
- コンプライアンス監視: コンプライアンスフレームワークは重要なSaaSアプリケーションに対応しているか。
- SaaS調達: SaaSの採用プロセスはどのようなもので、すべてのアプリケーションがITポリシーに準拠していることをどのように確認しているか。
SaaSの導入が急増する中、そのセキュリティは極めて重要である。包括的なSaaSセキュリティアプローチの導入は必ずしも容易ではなく、この投資を優先するチームは、将来のコスト発生から組織をより効果的に保護することができる。SaaSセキュリティを単なるIT問題ではなく、財務リスクとして捉えることで、リスクマネージャーと財務リーダーは、経営陣からセキュリティ対策強化への賛同を促し、SaaSアプリに関連するリスクを軽減することができる。
トピック
サイバー、リスクマネジメント、セキュリティ、テクノロジー
注意事項:本翻訳は“Why Risk Managers Need to Address SaaS Security ”, Risk Management Site ( https://www.rmmagazine.com/articles/article/2025/04/15/why-risk-managers-need-to-address-saas-security) April 2025をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
チトラ・ラジャゴパランはオブシディアン・セキュリティ社財務責任者。
- 損害保険交渉で事前準備的な強靭さ対策を活用する
損害保険交渉で事前準備的な強靭さ対策を活用する
ジョン・ハインツ[*]
近年、山火事を悪化させる嵐の激しさと干ばつの長期化は、長期的な気候変動に起因するとされる気象パターンの変動の激化と重なっている。例えば、昨年9月にメキシコ湾で発生したハリケーン・ヘレンは、最終的にはアパラチア山脈北部にまで甚大な被害をもたらした。さらに数か月後には、ロサンゼルス郡の奥地で、この地域では通常雨の多い時期に山火事が発生、甚大な被害をもたらした。降雨量、雹の大きさ、竜巻の発生頻度、山火事の発生場所など、大災害の予測不可能性が高まる中、企業は従来の保険アプローチにとどまらず、予期せぬ事態に対する不動産の強靭さを積極的に強化する必要がある。
「保険について議論する前に、企業は業務の強靭さと、それに対してどのように事前準備的に取り組んでいるかについて話し合う必要があります」と、BDOの保険リスクアドバイザリーグループを率いるマーク・ミラードは述べている。「強靭さへの取り組みを事前準備的に行えば、保険へのアプローチも変わり、より経済的な方法になるでしょう。」
フロリダ州タンパ総合病院は2019年、施設の周囲にアクア・フェンス(水害防止)という防潮堤を設置し、このような事前準備的な対策を講じた。この防潮堤は嵐の接近時に迅速に設置でき、施設は最大15フィート(約4.5メートル)の高潮にも耐えられるようになっている。さらに、敷地内の給水・発電プラントは海抜33フィート(約10メートル)に位置し、カテゴリー5のハリケーンによる洪水にも耐えられるようになっている。その結果、この地域で唯一のレベル1外傷センターは、ハリケーン・ヘレンの襲来時も運営することができた。
ビジネスニーズは多岐にわたるので、適切なリスク軽減策も多岐にわたる。ミラードは、業務部門と施設部門の代表者を含む組織の主要な利害関係者は、想定される危険シナリオと、損害およびダウンタイムを最小限に抑える方法について話し合うべきだと助言した。こうした計画の策定と実施は、組織の強靭さを最大限に高め、損害保険の適用範囲を交渉する際の影響力を高めるためには不可欠である。保険会社は現在、潤沢な資本を有しており、一部の損害保険の保険料は下落傾向にあるとミラードは述べ、この状況は企業が現在の市場環境を最大限に活用するのに役立つ可能性があると付け加えた。
「最良の計画は、保険が存在しないことを前提としています。保険は、計画の他のすべてが機能せず、企業がリスク移転商品に頼らざるを得なくなった場合の備えとなるべきです」とミラードは述べた。「リスクマネージャーは、強靭さのストーリーボードがどのようなものになるかを事前準備的に検討すべきです。」
リスクストーリーを告げる
強靭さのストーリーボードには、計画に関して実行され、テストされた構成要素を文書化し、保険会社に対して「われわれは損失の可能性を理解しており、これらが講じた予防措置です」と伝える必要があるとミラードは述べた。
保険会社は、不動産保険に付保するために、法人顧客の資産価値計画表(Schedule of Values)を精査し、損失からの回復に必要となるすべての請求可能な作業を詳細に分析するとともに、企業の事業中断計算の妥当性も検証する。前年比で比較すると、これらの費用がインフレ調整済みであり、サプライチェーンの混乱の可能性が検討されているかどうかも精査する。ミラードによると、保険会社は自社のエンジニアを派遣するが、独自のエンジニアリングおよび損失管理に関する知見や活動を提示し、潜在的な大惨事の影響をモデル化し、その情報を新規建設地の選定や建設工事そのものに組み込む顧客に対しては、より好意的な評価を下すことになる。
「もう一つの極めて重要なステップは、保険仲介業者との関係構築です。年間を通して保険仲介業者コミュニティと会合を持ち、信頼関係を築くことです」と、彼は付け加えた。
大災害の激甚化に伴い、被害軽減計画の策定では、日々進歩するテクノロジーの力も一部に寄与する、継続的な取り組みとなっている。フィッチ・レーティング社保険グループ上級取締役ジェラルド・グロムビッキは、保険会社はなぜある商業施設は災害を生き延びたのに、通りの向かい側にある同様の建物は生き延びなかったのかを理解するために、常にモデルの改善に努めていると指摘した。また、詳細を検証するための追加措置も講じている。「以前は、保険会社は保険代理店または顧客による証明書の形で(物件の要素を検証する)データを要求していたかもしれません」とグロムビッキは述べた。「現在では、一定額を超える場合、担当者を派遣して検証したり、実際の物件の衛星画像を入手したりすることもあります。」
保険会社は、リスクマネージャーに対し、社内施設内を歩き回り、バーチャル検査を実施できるアプリケーションのダウンロードを求めることもある。「これは簡単に実行でき、保険会社は物理的に検査員を派遣する必要もありません」と、アクセンチュアの保険部門社長マイケル・ライリーは述べている。ライリーは、この技術は住宅保険会社から始まり、「現在ではいくつかの商業保険会社が試行錯誤している」と付け加えた。
資産保護手順
こうした進歩により、企業には自社の資産リスクをより詳細に分析する必要が生じている。企業・住宅安全保険協会(IIBHS)の基準・データ分析担当上級取締役兼主任研究気象学者であるイアン・ジアマンコは、企業は保有する建物を精査し、適切な災害軽減対策が講じられていることを確認する必要があると述べている。例えば、ハリケーンや竜巻などの強風から建物を守るために、長い全長の建物を所有する企業は、耐風性を強化した戸車システムを設置することで、ドアが閉まらなくなり、建物の残りの部分やその中身が損傷する可能性を軽減できる。
ジアマンコは、山火事のリスク軽減に関する研究は風に関する研究に比べてはるかに少ないと述べた。特に、近年の原野と都市の境界面の急速な拡大により、ますます多くの建築物が山火事のリスクにさらされていることを考えると、その重要性はさらに増している。とはいえ、山火事への耐性に関する研究は急速に進んでおり、建物の発火リスクを低減するシステムに焦点を当てていると彼は述べた。
重要な手順としては、建物の屋根が不燃性であることを確認することである。商業施設は不燃性材料で建てられることが多いが、FMアプルーバルズ、ULスタンダーズ&エンゲージメント、IIBHSなどの評価機関は、さらなる保証を提供することができる。「可燃性の屋根材を使用している場合、それが発火の連鎖の中で最も弱い部分となるでしょう」とジアマンコは述べた。
また、火の粉が通気口やその他の開口部から建物内に侵入しないようにすることも不可欠である。炎が建物から建物へと移るのを防ぐには、建物間の間隔を適切に確保し、建物間に可燃物が入らないようにする必要がある。「最も重要なのは、建物の周囲約1.5メートルの範囲で、そこに可燃物がないことを確認することです」と彼は述べた。
さらに、ほとんどの建物の周囲は、風が吹いて、燃えさしが蓄積して建物の近くにある可燃物に引火する可能性があり、強化された外装材でさえも燃えるほどの高温の炎が発生する可能性がある。「商業ビルの建設には多くのばらつきがあるため、保険会社はこれらすべての要素を非常に細かく精査します」とジアマンコは述べ、建物が建設された建築基準法も検討されることを指摘した。
適切な保険仲介業者を選択する
すべての企業は、保険仲介業者と保険会社が自社の事業、特に非常に特殊な業界について理解していることを確認する必要がある。「一般的な保険会社は、保険料を高く設定したり、適切な補償内容を理解していなかったりする可能性があります。そのため、保険仲介業者が自社の業界を理解している保険会社を紹介することが重要です」とライリーは述べた。企業は、免責金額を高く設定してリスクを多く保有したり、リース契約を増やすなど事業構造を再構築してリスクを他社に移転したりすることで、保険料を下げることもできる。
保険情報協会の広報担当者ロレッタ・ワーターズによると、地域特有の気象パターンや脆弱性に基づいたリスク軽減戦略をカスタマイズすることで、保険料の削減、あるいは少なくとも値上げを最小限に抑えることができるという。また、地域の緊急管理機関や地域団体と連携して対応活動を調整し、従業員に緊急対応手順や安全プロトコルについて定期的に研修を行うことも重要である。
風水害リスクについては、ワーターズは、リスクマネージャーは屋根、窓、ドアの補強、低地の建物入口周辺への防潮堤の設置、排水システムの改善といった対策によって保険料を節約できると述べている。企業はまた、機器を保護するためにそれらを高架化し、電子機器を保護するために電圧変化保護装置に投資し、詳細な避難計画や重要なデータ保護手順を含む詳細な緊急対応計画を策定する必要がある。
変化する気象パターンの影響
新たな気象パターンは、今後、より極端で、変化する災害を示唆している。今日の最大の課題の一つは、干ばつの長期化など、火災発生の危険性が高い気象条件の増加である。また、気象パターンの変化により、最も激しい竜巻活動の一部は、グレート・プレーンズから南東部へと移動し、人口密度が高く脆弱な地域へと移動している。
ジアマンコは、雹嵐の影響を理解することも大きな課題であると述べている。他の気象災害に比べて雹嵐に関する研究は少ないが、それは雹の発生には複数の要因が関係しているからである。米国東部に拠点を置く企業は、施設の耐震性を強化し、保険会社と保険料交渉を進める中で、雹をより発生確率の高い潜在的災害として捉えるべきであろう。「現在、被害の大きい雹害は増加していますが、その頻度は若干減少する可能性があると考えています」とライリーは述べている。「中西部北部から北東部、ニューイングランドにかけては雹の頻度が増加する可能性がありますが、西部や南部平原では減少する可能性があります。」
過去の災害パターンによって将来の災害パターンを完全に予測できるわけではないが、リスクマネージャーは入手可能な情報を活用し、自社施設の所在地における現在のリスク要因を分析し、理解する必要がある。フロリダ沿岸部のような特定の地域では、大災害リスクは今後も継続する可能性があり、コストがさらに増加する可能性がある。こうしたリスク増加への長期的な対応として、企業はより持続可能な地域への施設移転を検討する必要があるかもしれない。「これは極端な措置ですが、国内のどこにでも生産できる製造業を経営していて、現在沿岸地域にいるのであれば、立地を再検討する必要があるかもしれません」とライリーは述べている。
トピック
事業中断、気候変動、災害対策、保険、自然災害、リスク評価
注意事項:本翻訳は“ Leveraging Proactive Resilience Measures in P&C Negotiations”, Risk Management Site ( https://www.rmmagazine.com/articles/article/2025/04/23/leveraging-proactive-resilience-measures-in-p-c-negotiations) April 2025をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジョン・ハインツはニュージャージー州を拠点とするフリーランスライター。
- AI導入におけるイノベーションとコンプライアンスを両立させる
AI導入におけるイノベーションとコンプライアンスを両立させる
ジョン・ニズリー[*]
2024年、企業におけるAI利用が595%急増して、業界の構造を変革し、世界的な規制に関する議論を巻き起こした。経済協力開発機構(OECD)によると、現在69カ国で1,000件以上のAI規制や取組が検討されている。AI導入の急速な進展により、立法機関、理事会、リスクマネジャーは、AI開発を支援する政策と、システムの信頼性、公平性、透明性、安全性の確保を両立させるという課題に直面している。
セキュリティとデータプライバシーは、AIを取り巻く多くの潜在的なメリットと懸念事項の根底にあっる。ラケラのセキュリティトレンド概要によると、セキュリティ専門家の93%がAIはサイバーセキュリティを確保できると回答している一方で、77%の組織がAIの脅威に対する防御体制が整っていないと感じている。さらに、企業の意思決定者のAI技術に対する信用度にばらつきがあることも、この課題をさらに複雑にしている。アッビーが最近発表した『インテリジェント・オートメーションの現状に関するレポート – AI信用度バロメーター』によると、AIを信用していない回答者の50%が、サイバーセキュリティとデータ侵害への懸念を挙げている。さらに、AIモデルの解釈と分析の精度についても、それぞれ47%と38%が懸念を抱いている。
AIを導入する上で、世界中の企業、政府、そして機関にとって、信用性と信頼性は極めて重要である。企業のリーダーにとっての課題は、AIが持つ変革の可能性を最大限に活かしつつ、固有のリスクを管理することである。
以下の4つの検討事項は、企業が規制基準を満たし、企業のリスクを管理できる、誠実で信用できるAIポリシーと実践を確保するのに役立つ。
1.良質なデータから始める
「ゴミからはゴミしかできない」という諺があるように、AIは学習データに依存しており、その多くは人間が触れていない。これが多くの企業がAIを導入する主な理由であるが、このデータはセキュリティ上の潜在的な弱点にもなりうる。古くて構造化されていない情報や個人データが、大規模言語モデル(LLM)に意図せず取り込まれることはよくあり、バイアスや不正確さ、データ盗難や差別につながる可能性がある。
LLMは、学習源となるデータが豊富で整理されている場合に最も効果的に機能する。今日の多くの組織にとって、これはLLMがサポートすることが期待される特定のニーズと業務について最低限の理解を持っている必要があることを意味する。このギャップを埋めるために、LLMの精度と信頼性を高める技術である検索拡張生成(RAG)が再び注目を集めている。RAGは、組織のデータでLLMを拡充し、LLMの有用性と信頼性を大幅に向上させる、費用対効果が高く安全な方法として急速に普及している。
質の低い学習データという課題に対処するために、組織はまずデータ保存場所を監査し、ギャップ、不正確さ、そして潜在的に機密性の高い情報を特定する必要がある。次に、より高品質な入力データを確保するために、明確なデータ洗浄および構造化プロトコルを確立することが重要となる。関連性が高く整理されたデータは、RAGソリューションを最大限に活用し、LLMにコンテキスト理解を深めさせ、ビジネスとの関連性を強化するための基盤を提供する。さらに、部門横断的なチームが連携してRAGプロセスを安全に実装することで、データ漏洩を防ぐ堅牢なデータガバナンス体制を確立できる。
2.説明可能なAIと透明性のあるAIを確保する
AIによる意思決定はデータにバイアスを生じさせる可能性があり、差別や不平等を永続させる可能性がある。この問題に対処するには、AIシステムの開発・導入において、幅広い視点を持つ多様なチームを編成し、その能力を構築することが重要である。これにより、説明可能で透明性のあるAIを確保できる。企業は、アルゴリズムリスク管理委員会やデータガバナンス委員会など、AI倫理に特化した部門横断的なチームを編成する必要がある。
AIの透明性、バイアスの低減、監査証跡を可能にするツールに重点を置くことで、企業はAIソリューションを信頼し、必要に応じてコンプライアンスを検証できるようになる。AIを活用したセキュリティツールは透明性の恩恵を受け、アナリストは意思決定を理解し、侵害検出方法を改善できる。
開発者は、特に保険、医療、金融などの重要な分野において、利害関係者がAIの意思決定を理解し、解釈し、異議を申し立てることができるインターフェースを提供できる必要がある。組織は、特に個人データが関与する場合、AIの運用について明確に説明する必要がある。ユーザーはAIがどのようにデータを扱うかを理解すれば、情報共有について十分な情報に基づいた選択を行うことができ、不要な個人情報が漏洩するリスクを軽減できる。
企業は、バイアスを特定・軽減するためのフレームワークを構築し、システムを定期的に監査し、フィードバックを受け入れることで、説明責任を優先することができる。外部監査は、公平な視点を提供するための一般的な方法になりつつある。例えば、フォーヒューマニティは、AIシステムを独立して監査し、リスクを分析できる非営利団体である。同団体は最近、AIポリシー・アクセラレーターを立ち上げた。これは、AI活用企業が厳格なリスクマネジメント基準に照らして自社製品を監査に提出することを奨励し、AIツールの規制遵守と責任について事前準備的に検証する手段を提供している。
信頼できるAIを実現するもう1つの方法は、小規模言語モデル(SLM)などの専用AIや特定の目的に特化したAIを導入することである。企業は、特定のタスクや目標に合わせた専用AIへと転換し始めている。このアプローチは、不必要な一般性を削減することで、より効率的で正確な結果を生み出すと同時に、不正確さや過剰な調査のリスクを軽減する。モデル自体を圧縮することで計算精度が向上し、速度と精度が向上する。
3.人間による監視を組み込む
AIは人間の能力を置き換えるのではなく、強化するものであるべきである。特にセキュリティ管理においては、AIの判断が重大な影響を及ぼす可能性があるため、その重要性は増す。人間による監視は、AIシステムを倫理基準や社会的価値観に沿った状態に保つのに役立つ。人間の介入がなければ、AIシステムは誤りを犯し、偏見を示し、悪用される可能性があり、深刻なセキュリティとプライバシーの問題につながる可能性がある。
しばしばヒューマン・イン・ザ・ループ(HITL)と呼ばれるこの協働アプローチは、人間の投入と機械学習を組み合わせることで、AIシステムの精度と信頼性を向上させる。組織は、HITLを様々なプロセスに組み込むことができる。例えば、人間がトレーニングデータにラベルを付けてアルゴリズムを調整するトレーニング、人間がモデルのパフォーマンスに関するフィードバックを提供するテスト、人間がAIによってフラグ付けされたコンテンツをレビューして確認する意思決定などである。
AIシステムにHITLアプローチを効果的に実装するには、トレーニング、テスト、導入、保守の各フェーズに人間による監視を組み込む必要がある。チームは、トレーニングデータにラベルを付け、継続的なフィードバックを提供し、AIが生成した出力を検証することで、システムの精度と信頼性を高める必要がある。
AI倫理、規制要件、ベストプラクティスについて従業員を教育することも重要である。ビジネスリーダーは、AI規制の変更やコンプライアンス戦略について従業員に周知するための継続的な研修セッションを実施する必要がある。倫理的慣行の監督に人間を活用することで、設計段階からプライバシーを最優先し、データの収集、処理、保管が安全かつ透明性の高い慣行に従って行われることを保証する。
4.継続的な評価を実施する
新たな脅威や変化する規制環境は企業にとって重大な課題であるが、AIは規制監視を自動化することで負担を軽減できる。プロセスインテリジェンス(PI)などのAIツールは、ワークフローや大規模なデータセットを分析し、潜在的なコンプライアンス問題を検知することで、手作業とコストを削減しながら規制遵守を確保できる。
定義済みの信頼指標を用いることで、このソフトウェアはリスクを早期に検知・対処し、サイバー脅威がデータ侵害につながる前に防止するのに役立つ。ルール違反やプロセス逸脱が発生した場合にアラートを発することで、企業は事前に矛盾点に対処し、コンプライアンスを確保できる。例えば、GDPRのルールに照らして財務ワークフローを継続的に監査したり、不正検出モデルを改良して誤検知を減らし、新たな不正パターンを検出したりすることができる。また、ログイン履歴を追跡することで、権限のある従業員のみが機密データにアクセスできるようにすることも可能である。
効果的なAIガバナンスとベストプラクティスは、企業リスクを軽減するだけでなく、ブランドロイヤルティの向上や顧客維持率の向上など、具体的なビジネスメリットをもたらす。信頼できるAIフレームワークを導入することで、組織は利害関係者との信頼関係を築き、AI主導の世界において、持続的な成長を確保しながら、企業の評判を守ることができる。
トピック
人工知能、新興リスク、規制、リスクマネジメント、テクノロジー
注意事項:本翻訳は“Balancing Innovation and Compliance When Implementing AI ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2025/04/30/balancing-innovation-and-compliance-when-implementing-ai ) April 2025をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジョン・ニズリーはアッビー社AIプロセス・スペシャリスト。
